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Kleine Anfrage 

der Abgeordneten Andrej Hunko, Brigitte Freihold, Andre Hahn, 

Niema Movassat, Norbert Müller (Potsdam), Zaklin Nastic, Dr. Alexander S. Neu, 
Martina Renner, Eva-Maria Elisabeth Schreiber, Dr. Petra Sitte, 

Friedrich Straetmanns, Katrin Werner und der Fraktion DIE LINKE. 


Reaktion der EU auf Cyberangriffe 


In einem „Cybersicherheitspaket“ will die Europäische Union ihre „Reaktionsfä¬ 
higkeit auf Cyberangriffe“ verbessern (Quelle hier und im Folgenden: Pressemit¬ 
teilung sowie Factsheet der Europäischen Kommission vom 19. September 
2017). Als neue „Instrumente zur Verbesserung des Schutzes gegen Cyberan¬ 
griffe“ plant die Kommission unter anderen die Einrichtung einer „EU-Agentur 
für Cybersicherheit“, indem die bislang existierende die Abwehrfähigkeit und Re¬ 
aktion der EU bei Cyberattacken zu verbessern, indem die bereits existierende 
Agentur für Netz- und Informationssicherheit (ENISA) „gestärkt“ wird und Mit¬ 
gliedstaaten beim Umgang mit Cyberangriffen unterstützt. Hierzu soll die ENISA 
mit einem ständigen Mandat ausgestattet werden. Zusätzlich zu den regelmäßig 
abgehaltenen „EU-Cyberübungen“ soll auch die neue Agentur jährliche europa¬ 
weite „Cybersicherheitsübungen“ durchführen. Wie in der Richtlinie über die Si¬ 
cherheit von Netz- und Informationssystemen vorgesehen soll die rundemeuerte 
ENISA dafür sorgen, dass in jedem Mitgliedstaat „schwerwiegende Cybersicher¬ 
heitsvorfälle“ einer nationalen Behörde gemeldet werden müssen. 

Ebenfalls geplant ist die Einrichtung eines europäischen „Forschungs- und Kom¬ 
petenzzentrums für Cybersicherheit“, ein entsprechendes „Pilotzentrum“ soll 
noch in 2018 starten um die Mitgliedstaaten bei der Entwicklung und Nutzung 
von „Instrumenten und Technik“ gegen die „immer neuen Bedrohungen“ zu un¬ 
terstützen. Das Zentrum könnte außerdem „um eine Cyberabwehr-Abteilung er¬ 
gänzt werden“. Dessen ungeachtet stellt die Kommission ein „Kompetenzdefizit 
im Bereich der Cyberabwehr“ fest, dem noch in 2018 mit einer „Plattform für die 
Ausbildung und Aufklärung im Bereich der Cyberabwehr“ begegnet werden soll. 
Von Cyberangriffen betroffene Mitgliedstaaten könnten ähnlich wie beim EU- 
Katastrophenschutzmechanismus aus einem „Cybersicherheits-Notfallfonds“ un¬ 
terstützt werden, allerdings müssten diese zuvor alle nach EU-Recht vorgeschrie¬ 
ben Cybersicherheitsmaßnahmen „ordnungsgemäß umgesetzt haben“. Weitere 
neue Kapazitäten sollen für die „Enttarnung, Rückverfolgbarkeit und Verfolgung 
von Cyberkriminellen“ sorgen. Genannt werden jedoch keine Maßnahmen zur 
Bekämpfung von Cyberangriffen, sondern lediglich „Betrug und Fälschung im 
Zusammenhang mit bargeldlosen Zahlungsmitteln“. Ebenfalls als „Ermittlungs¬ 
arbeit bei Cyberdelikten“ wird die Erleichterung des grenzüberschreitenden Zu¬ 
gangs zu elektronischen Beweismitteln genannt, die eigentlich zur Beschlag¬ 
nahme von Cloud-Daten im EU-Ausland dienen soll, und die „Überlegungen zur 
Rolle der Verschlüsselung bei kriminaltechnischen Ermittlungen“. 
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Schließlich arbeitet die Kommission an einem „Konzept, wie Europa und die Mit¬ 
gliedstaaten in der Praxis gemeinsam rasch reagieren können, wenn es zu einem 
groß angelegten Cyberangriff kommt“. In einer bereits vorgelegten Empfehlung 
werden die Mitgliedstaaten und die EU-Organe aufgefordert, für die praktische 
Umsetzung einen EU-Rahmen für die Reaktion auf Cybersicherheitskrisen zu 
schaffen. Zur Verbesserung der Cyberabwehr sollen auch militärische Strukturen 
(„Cyberabwehrprojekte“) eingebunden werden, die Kommission nennt hierzu die 
ständige strukturierte Zusammenarbeit (PESCO) und den Europäischen Verteidi¬ 
gungsfonds. Insbesondere mit der NATO soll die Europäische Union die „For- 
schungs- und Innovationszusammenarbeit“ intensivieren. Wie in 2017 und 2018 
ist die Beteiligung an „parallelen und koordinierten Übungen“ geplant (Antwort 
auf die Bundestagsdrucksache 19/929). Zur Verbesserung der internationalen Zu¬ 
sammenarbeit plant die Kommission die Umsetzung eines „Rahmens für eine ge¬ 
meinsame diplomatische Reaktion auf böswillige Cyberaktivitäten“. Auch Dritt¬ 
länder sollen bei der „Bewältigung von Cyberbedrohungen“ unterstützt werden. 

Wir fragen die Bundesregierung: 

1. Inwiefern teilt die Bundesregierung die Einschätzung der Kommission, die 
ein „Kompetenzdefizit im Bereich der Cyberabwehr“ feststellt, und worin 
liegt dies begründet? 

2. Ab welcher Schwelle einer „Cybersicherheitskrise“ sollten „Europa und die 
Mitgliedstaaten in der Praxis“ aus Sicht der Bundesregierung „gemeinsam 
rasch reagieren können, wenn es zu einem groß angelegten Cyberangriff 
kommt“? 

3. Welche wesentlichen Akteure der Mitgliedstaaten und der Europäischen 
Union sind aus Sicht der Bundesregierung im Bereich des operativen und 
strategischen Krisenmanagements im Cyberraum unterrepräsentiert und 
müssten stärker beteiligt werden (etwa Reaktionsteams für Computersicher¬ 
heitsverletzungen, Europol, der Europäische Auswärtige Dienst, die East 
StratCom Task Force, die Webseite „EUvsdisinformation“)? 

4. Welche Rolle sollte eine „EU-Agentur für Cybersicherheit“ aus Sicht der 
Bundesregierung hinsichtlich der Abwehrfähigkeit und Reaktion der EU auf 
Cyberangriffe übernehmen, und welche Maßnahmen hält sie dazu für geeig- 
nef? 

5. Inwiefern sollfe die neue Agentur aus Sicht der Bundesregierung zusätzlich 
zu den regelmäßig abgehaltenen „EU-Cyberübungen“ weitere „Cybersicher¬ 
heitsübungen“ durchführen, und welche Defizite sollten damit überbrückt 
werden? 

6. Wo soll nach Kenntnis der Bundesregierung das europäische „Forschungs¬ 
und Kompetenzzentrams für Cybersicherheit“ bzw. ein entsprechendes „Pi¬ 
lotzentrum“ eingerichtet werden, um die Mitgliedstaaten bei der Entwick¬ 
lung und Nutzung von „Instrumenten und Technik“ gegen die „immer neuen 
Bedrohungen“ zu unterstützen? 

a) Welche Mitgliedstaaten oder sonstigen Einrichtungen nehmen an dem 
Zentrum teil, und welche Kapazitäten stellt die Bundesregierung hierfür 
zur Verfügung? 

b) Welche Haltung vertritt die Bundesregierung zur Frage, inwiefern das 
Zentrum um eine „Cyberabwehr-Abteilung“ ergänzt werden sollte, und 
über welche Kompetenzen sollte dieses verfügen? 

7. Wo soll die von der Kommission angekündigte „Plattform für die Ausbil¬ 
dung und Aufklärung im Bereich der Cyberabwehr“ nach Kenntnis der Bun¬ 
desregierung eingerichtet werden? 
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8. Auf welche Weise arbeiten Bundesbehörden mit dem „Incident and Threat 
Information Sharing EU Centre“ (ITIS-EUC) zusammen, über das „Informa¬ 
tionen über Cyberbedrohungen und -vorfalle im Energiesektor analysiert und 
ausgetauscht werden“ (Ratsdokument 11539/17)? 

9. Was ist der Bundesregierung über die Einrichtung einer „Cyber platform for 
education, training, exercise and evaluation“ (ETEE) bekannt (http://gleft. 
de/29D), wo wird diese installiert, und wer nimmt daran teil? 

a) Welche Ziele werden mit der ETEE verfolgt, und wie werden Doppelun¬ 
gen mit bestehenden Einrichtungen vermieden? 

b) Welche Kosten (auch Machbarkeitsstudien) entstehen für die ETEE, und 
wie werden diese übernommen? 

c) Wann soll die ETEE starten bzw. ihre volle Einsatzbefahigung erreichen? 

10. Welchen neuen EU-(Rechts-)Rahmen für die Reakfion auf „Cybersicher¬ 
heitskrisen“ hält die Bundesregierung für notwendig, und wie müsste dieser 
ausgestaltet werden? 

11. Welche Haltung vertritt die Bundesregierung zur Frage, wie ein „Cybersi- 
cherheits-Notfallfonds“ ausgestaltet werden könnte und ob Mittel hierfür aus 
vorhandenen Sfrukfuren verteilf werden könnfen? 

12. Welche neuen Kapazifäten sollfe die Europäische Union aus Sichf der Bun¬ 
desregierung zur „Enttarnung, Rückverfolgbarkeit und Verfolgung von Cy¬ 
berkriminellen“ entwickeln? 

13. Welche Haltung vertritt die Bundesregierung zur Frage, welche militärischen 
EU-Strukturen („Cyberabwehrprojekte“) in die zivile Cyberabwehr einge¬ 
bunden werden sollten? 

a) Was ist der Bundesregierung über Planungen bekannt, die ständige struk¬ 
turierte Zusammenarbeit (PESCO) und den Europäischen Verteidigungs¬ 
fonds stärker in die eigentlich zivile Cyberabwehr zu integrieren (bitte et¬ 
waige Projekte oder Initiativen ausführen)? 

b) Was ist der Bundesregierung darüber bekannt, auf welche Weise die Eu¬ 
ropäische Union und die NATO den Informationsaustausch zwischen ih¬ 
ren jeweiligen Cybersicherheitsgremien (laut Kommission dem IT-Not- 
fallteam für die Organe, Einrichfungen und sonstigen Stellen der EU 
(CERT-EU) und der Computer Incident Response Capability (NCIRC) 
der NATO), intensivieren, wozu die beiden Partner in 2017 und 2018 erst¬ 
mals parallele und koordinierte Übungen zur Reaktion auf ein hybrides 
Angriffsszenario abgehalten haben? 

c) Wie sollen die „Bemühungen um bessere Interoperabilität bei den Cyber¬ 
sicherheitsstandards“ umgesetzt werden? 

14. Was ist der Bundesregierung über Ort und Zeitpunkt einer Cybersicherheits¬ 
übung „Cyber Europe 2018“ bekannt (sofern die Übung in einzelne Teile 
aufgegliedert ist, diese bitte benennen)? 

a) Wer nimmt an der Übung teil, und inwiefern soll diese im Kontext anderer 
Übungen, etwa der NATO, abgehalten werden? 

b) Welche Szenarien werden dort geübt? 

c) Sofern auch Szenarien wie die „Verunstaltung von Webseiten“, „Daten¬ 
diebstahl von Benutzemamen und Passwörtern“, „Ausschalten der Ener¬ 
gieversorgung eines Flughafens“, „Kontrolle über die Flugzeugbetan¬ 
kungsanlage“ oder die Reaktion auf das Streuen von Falschinformationen 
geübt werden sollen, welche Details sind der Bundesregierung hierzu be¬ 
kannt? 
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15. Welche Szenarien werden nach Kenntnis der Bundesregierung in der militä¬ 
rischen Übung „Locked Shields 2018“ vom 23. bis 27. April 2018 in Tallinn 
geübt (Antwort auf die Bundestagsdrucksache 19/929)? 

a) Welche Staaten, mit denen Beitrittsverhandlungen zum NATO Coopera- 
tive Cyber Defence Centre of Excellence (CCDCOE) vor dem Abschluss 
stehen, werden eingeladen bzw. nehmen teil? 

b) Inwiefern ist mittlerweile bekannt, welche Cyberübungen, an denen sich 
die Bundeswehr in 2018 beteiligt, an der Schwelle eines bewaffneten An¬ 
griffs operieren? 

c) An welchen Cyberübungen der Europäischen Union oder der NATO hat 
sich die Bundeswehr in der Vergangenheit mit „Red-Teams“ beteiligt 
(Antwort auf Bundestagsdrucksache 19/929)? 

d) In welchen Cyberübungen, an denen sich die Bundeswehr in 2017 betei¬ 
ligt, wurde mit den Anwendungen „Cobalt Strike“, „Metasploit“ oder 
„Burp Proxy“ geübt? 

16. Welche weiteren Anstrengungen sollte die Europäische Union aus Sicht der 
Bundesregierung hinsichtlich von Cyberdiplomatie und internationalen Cy¬ 
bernormen sowie zur Umsetzung der „Cyber Diplomacy Toolbox“ (Ratsdo¬ 
kument 9916/17) unternehmen? 

17. Welche Drittländern außer den USA, Japan, Indien, der Republik Korea und 
China sollten aus Sicht der Bundesregierung für die Europäische Union zur 
Etablierung „starker Bündnisse“ oder Gesprächen über das Thema Cybersi¬ 
cherheit im Fokus stehen? 

18. Welche Haltung vertritt die Bundesregierung zur Frage der Notwendigkeit 
eines „Rahmens für eine gemeinsame diplomatische Reaktion auf böswillige 
Cyberaktivitäten“? 

19. Inwiefern bzw. nach welcher Maßgabe sollte die Europäische Union aus 
Sicht der Bundesregierung zukünftig mit (öffentlichen oder nicht-öffentli¬ 
chen) diplomatischen Verurteilungen, Erklärungen oder Ratsschlussfolge¬ 
rungen an Regierungen, die als Urheber von Cyberangriffen verdächtigt wer¬ 
den, reagieren (Ratsdokument WK 2641/2018 INIT)? 

20. Mit welchen Maßnahmen sollte die Europäische Union aus Sicht der Bun¬ 
desregierung zukünftig gemeinsam auf „böswillige Cyberaktivitäten“ reagie¬ 
ren? 

a) Nach welcher Maßgabe fielen „böswillige Cyberaktivitäten“ unter die Re¬ 
gelungen der „Solidaritätsklausel“ nach Artikel 222 des Vertrags über die 
Arbeitsweise der Europäischen Union (AEUV)? 

b) Inwiefern könnten als „Reaktion auf böswillige Cyberaktivitäten“ Instru¬ 
mente der integrierten EU-Regelung für die politische Reaktion auf Kri¬ 
sen (ICPR) genutzt werden? 

c) In welchen zivilen oder militärischen Cyberübungen, an denen sich die 
Bundesregierung beteiligt hat, wurde der ICPR-Mechanismus bereits be¬ 
rücksichtigt? 

d) Inwiefern könnten sich etwaige EU-Reaktionen aus Sicht der Bundesre¬ 
gierung auch auf die United Nations Group of Governmental Experts on 
Developments in the Field of Information and Telecommunications in the 
Context of International Security (UN GGE) berufen, und welche Initia¬ 
tiven sind der Bundesregierung hierzu bekannt? 
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21. Wie könnte ein „Protokoll für die Notfallreaktion“ auf Cybersicherheitsvor¬ 
fälle („Emergency Response Protocol”) europäischer Strafverfolgungsbe¬ 
hörden aus Sicht der Bundesregierung ausgestaltet und umgesetzt werden 
(Ratsdokument 11809/17)? 

a) Welches Ausmaß müssten IT-Störungen annehmen, um das Protokoll zu 
aktivieren, bzw. wie würde die Aktivierung bestimmt? 

b) Welche zivilen und militärischen EU-Lagezentren sollten daraufhin akti¬ 
viert werden? 

c) Welche Einrichtungen sollten mit der Überwachung offener Quellen 
(„Open Source Monitoring” und taktischer Koordination beauftragt wer¬ 
den? 

22. Welche Defizite sieht die Bundesregierung bei der EU-Reaktion auf die Cy¬ 
berangriffe mit „Wannacry“ und „NotPetya“ („Herausforderungen, an deren 
Bewältigung gearbeitet wird“, Ratsdokument 11539/17), und welche Maß¬ 
nahmen hält sie hierzu für erforderlich? 

a) Welche Rolle übernimmt das geheimdienstliche Lagezentrum INTCEN 
schon jetzt bei der Zurechnung („Attribuierung“) von Cyberangriffen, 
und wie sollten diese Fähigkeiten ausgebaut werden? 

b) Auf welche Weise ist das INTCEN bzgl. der Cyberangriffe mit „Wan¬ 
nacry“ und „NotPetya“ tätig geworden? 

c) Welche deutschen Behörden haben hierzu Lageberichte beigesteuert? 

d) Auf welche Weise sind welche EU-Agenturen oder IT-Netzwerke (etwa 
die Reaktionsteams für Computersicherheitsverletzungen) bzgl. der Cy¬ 
berangriffe mit „Wannacry“ und „NotPetya“ tätig geworden bzw. weiter¬ 
hin damit befasst? 

23. Was ist der Bundesregierung darüber bekannt, welche EU-Agenturen oder 
IT-Netzwerke mit Ermittlungen und Analysen zu Angriffen mit der Schad¬ 
software „Snake“ (bzw. „Turla“, „Uroburos“), „Stuxnet“, „Black Energy“ 
oder „Mirai“ befasst waren oder sind? 

Berlin, den 22. März 2018 


Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion 
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